إنشاء شهادات شبكة منطقة التخزين (SAN) لتكامل IND و ISE PxGrid باستخدام OpenSSL

المقدمة

يوضح هذا المستند كيفية إنشاء شهادات SAN لتكامل PXgrid بين مدير الشبكة الصناعية (IND) ومحرك خدمات الهوية.

معلومات أساسية

عند إنشاء شهادات في Cisco ISE لاستخدام pxGrid، لا يمكن إدخال أسماء المضيف القصيرة للخادم في واجهة المستخدم الرسومية (GUI) ل ISE حيث إن ISE يسمح فقط ب FQDN أو عنوان IP.

لإنشاء شهادات تتضمن اسم المضيف وكذلك FQDN، يجب إنشاء ملف طلب شهادة خارج ISE. يمكن القيام بذلك باستخدام OpenSSL لإنشاء طلب توقيع شهادة (CSR) بإدخالات حقل اسم موضوع بديل (SAN).

لا يتضمن هذا المستند خطوات شاملة لتمكين اتصال PxGrid بين خادم IND وخادم ISE.  يمكن إستخدام هذه الخطوات بعد تكوين pxGrid، وقد تم التأكد من أن اسم مضيف الخادم مطلوب.  إذا تم العثور على هذا الخطأ في ملفات سجل ISE Profiler، يتطلب الاتصال شهادة اسم المضيف.

Unable to get sync statusjava.security.cert.CertificateException: No subject alternative DNS name matching <IND server hostname> found.

يمكن الاطلاع على خطوات النشر الأولي للدائرة الوطنية للمعلومات (IND) مع اتصال PxGrid على الموقع https://www.cisco.com/c/dam/en/us/td/docs/switches/ind/install/IND_PxGrid_Registration_Guide_Final.pdf

التطبيقات المطلوبة

• مدير شبكة Cisco الصناعية (IND)
• محرك خدمات الهوية من Cisco (ISE)
• OpenSSL
  • في معظم إصدارات نظام التشغيل Linux الحديثة، بالإضافة إلى نظام التشغيل MacOS، يتم تثبيت حزمة OpenSSL بشكل افتراضي. إذا اكتشفت أن الأوامر غير متوفرة، فيرجى تثبيت OpenSSL باستخدام تطبيق إدارة حزمة نظام التشغيل الخاص بك.
  • يمكن العثور على معلومات حول OpenSSL ل Windows على https://wiki.openssl.org/index.php/Binaries

معلومات إضافية

لأغراض هذا المستند، يتم إستخدام هذه التفاصيل:

• اسم مضيف خادم IND: RCH-MAS-IND
• شبكة FQDN: rch-mas-ind.cisco.com
• تكوين OpenSSL: rch-mas-ind.req
• اسم ملف طلب الشهادة: rch-mas-ind.csr
• اسم ملف المفتاح الخاص: rch-mas-ind.pem
• اسم ملف الشهادة: rch-mas-ind.cer

خطوات العملية

إنشاء CSR للشهادة

1. على نظام مثبت عليه OpenSSL، قم بإنشاء ملف نص طلب لخيارات OpenSSL بما في ذلك معلومات SAN.
   • تكون معظم الحقول "_default" إختيارية، حيث يمكن إدخال الإجابات أثناء تشغيل الأمر OpenSSL في الخطوة #2.
   • تفاصيل شبكة التخزين (SAN) (DNS.1 و DNS.2) مطلوبة ويجب أن تتضمن كل من اسم المضيف المختصر ل DNS و FQDN للخادم. يمكن إضافة أسماء DNS إضافية إذا لزم الأمر، باستخدام DNS.3 و DNS.4 وما إلى ذلك.
   • مثال على ملف نص الطلب:

     [req] distinguished_name = name req_extensions = v3_req [الاسم] اسم البلد = اسم البلد (رمز حرف) countryName_default = الولايات المتحدة StateOrProvinceName = اسم الولاية أو المقاطعة (الاسم الكامل) stateOrProvinceName_default = Tx LocalityName = City localityName_default = Cisco Lab OrganizationUnitName = اسم الوحدة التنظيمية (على سبيل المثال، IT) organizationUnitName_default = TAC CommonName = اسم عام (على سبيل المثال، اسمك) commonName_max = 64 commonName_default = rch-mas-ind.cisco.com عنوان البريد الإلكتروني = عنوان البريد الإلكتروني emailAddress_max = 40 [v3_req] KeyUsage = مفتاح التشفير، تشفير البيانات ExtendedKeyUsage = serverAuth، clientAuth subjectAltName = @alt_names [alt_names] DNS.1 = rch-mas-ind DNS.2 = rch-mas-ind.cisco.com

2. أستخدم OpenSSL لإنشاء CSR باستخدام اسم المضيف القصير ل DNS في حقل SAN. قم بإنشاء ملف مفتاح خاص بالإضافة إلى ملف CSR.
   • :
        openssl req -newKey rsa:2048 -keyout <server>.pem -out <server>.csr -config <server>.req
   • عند مطالبتك بذلك، أدخل كلمة مرور من إختيارك.  تأكد من تذكر كلمة المرور هذه، كما يتم إستخدامها في الخطوات اللاحقة.
   • أدخل عنوان بريد إلكتروني صالح عند المطالبة به أو أترك الحقل فارغا واضغط على <ENTER>.
     
3. تحقق من معلومات ملف CSR، إذا كنت ترغب في ذلك. للحصول على شهادة شبكة التخزين (SAN)، تحقق من "الاسم البديل للموضوع x509v3" كما هو موضح في لقطة الشاشة هذه.
   • سطر الأوامر:
        openssl req -in <server>.csr -noout -text
     
     
     
4. افتح ملف CSR في محرر نصي.  لأسباب تتعلق بالأمان، لم تكتمل لقطة الشاشة العينة وتم تحريرها.  يحتوي ملف CSR الفعلي الذي تم إنشاؤه على المزيد من البنود.
   
5. انسخ ملف المفتاح الخاص (<server>.pem) إلى الكمبيوتر الخاص بك كما هو مستخدم في خطوة لاحقة.

أستخدم Cisco ISE لإنشاء شهادة، باستخدام معلومات ملف CSR الذي تم إنشاؤه

داخل واجهة المستخدم الرسومية ISE:

1. إزالة عميل pxGrid الموجود.
   • انتقل إلى إدارة > خدمات PxGrid > جميع العملاء.
   • ابحث عن اسم المضيف للعميل الموجود وقم بتحديده، إذا كان مدرجا،
   • إذا تم العثور عليه وتحديده، انقر زر الحذف ، واختر "حذف المحدد."  تأكد حسب الحاجة.
2. إنشاء الشهادة الجديدة.
   • انقر فوق علامة التبويب شهادات في صفحة خدمات pxGrid.
   • أختر الخيارات:
     • "أريد ذلك":
       • "إنشاء شهادة مفردة (مع طلب توقيع الشهادة)"
     • "تفاصيل طلب توقيع الشهادة:
       • انسخ/الصق تفاصيل CSR من محرر النصوص.  تأكد من تضمين أسطر BEGIN و END.
     • "تنسيق تنزيل الشهادة"
       • "شهادة بتنسيق البريد الإلكتروني المحسن للخصوصية (PEM)، مفتاح بتنسيق PKCS8 PEM."
     • أدخل كلمة مرور الشهادة وأكدها.
     • انقر فوق الزر إنشاء.
       
     • يقوم ذلك بإنشاء وتنزيل ملف ZIP يحتوي على ملف الترخيص بالإضافة إلى ملفات إضافية لسلسلة الترخيص. افتح الرمز البريدي واستخرج الشهادة.
       • اسم الملف هو عادة <IND server fqdn>.cer
       • في بعض الإصدارات من ISE، يكون اسم الملف <IND fqdn>_<IND Short Name>.cer

إستيراد الشهادة الجديدة إلى خادم IND، وتمكينها لاستخدام pxGrid

داخل واجهة المستخدم الرسومية IND:

1. قم بتعطيل خدمة pxGrid، حتى يمكن إستيراد الشهادة الجديدة وتعيينها كشهادة نشطة.
   • انتقل إلى الإعدادات > pxGrid.
   • انقر لتعطيل pxGrid.
     
2. إستيراد الشهادة الجديدة إلى شهادات النظام.
   • انتقل إلى الإعدادات > إدارة الشهادات.
   • انقر على "شهادات النظام"
   • انقر فوق "إضافة ترخيص".
   • أدخل اسم شهادة.
   • انقر "تصفح" على يسار "الترخيص"، وحدد مكان ملف الشهادة الجديد.
   • انقر فوق "إستعراض" إلى يسار "الترخيص"، وحدد مكان المفتاح الخاص المحفوظ عند إنشاء CSR.
   • أدخل كلمة المرور المستخدمة مسبقا عند إنشاء المفتاح الخاص و CSR باستخدام OpenSSL.
   • انقر فوق "تحميل".
     

3. إستيراد الشهادة الجديدة كشهادة موثوق بها.
   • انتقل إلى الإعدادات > إدارة الشهادات، وانقر على "الشهادات الموثوق بها".
   • انقر فوق "إضافة ترخيص".
   • أدخل اسم شهادة، يجب أن يكون هذا الاسم مختلفا عن الاسم المستخدم في "شهادات النظام".
   • انقر "تصفح" على يسار "الترخيص" وحدد مكان ملف الشهادة الجديد.
   • يمكن ترك حقل كلمة المرور فارغا.
   • انقر فوق "تحميل".
     

4. تعيين pxGrid لاستخدام الشهادة الجديدة.
   • انتقل إلى الإعدادات > إدارة الترخيص، انقر على "إعدادات".
   • إذا لم يكن قد تم بالفعل، حدد "شهادة CA" تحت "pxGrid."
   • حدد اسم شهادة النظام الذي تم إنشاؤه أثناء إستيراد الشهادة.
   • انقر حفظ.

تمكين PxGrid وتسجيله باستخدام خادم ISE

داخل واجهة المستخدم الرسومية IND:

1. انتقل إلى الإعدادات > pxGrid.
2. انقر المنزلق لتمكين pxGrid.
3. إذا لم تكن هذه هي المرة الأولى التي يتم فيها تسجيل PxGrid مع ISE على خادم IND هذا، أختر "الاتصال باستخدام العقدة الموجودة".  يتم تلقائيا تعبئة عقدة IND ومعلومات خادم ISE.
4. لتسجيل خادم IND جديد لاستخدام pxGrid، إذا لزم الأمر، أختر "تسجيل عقدة جديدة".  أدخل اسم عقدة IND واختر خوادم ISE حسب الحاجة.
   • إذا لم يكن خادم ISE مدرجا ضمن الخيارات المنسدلة للخادم 1 أو الخادم 2، فيمكن إضافته كخادم pxGrid جديد باستخدام الإعدادات > خادم النهج

5. انقر فوق تسجيل. يتم عرض تأكيد على الشاشة.
   

الموافقة على طلب التسجيل في خادم ISE

داخل واجهة المستخدم الرسومية ISE:

1. انتقل إلى إدارة > خدمات PxGrid > جميع العملاء.  يظهر طلب الموافقة المعلقة على أنه "مجموع الموافقة المعلقة (1)."
2. انقر فوق "إجمالي الاعتماد المعلق(1)" وحدد "اعتماد الكل."
   
3. في القائمة المنبثقة التي تظهر، انقر "موافقة على الكل".
   
4. يظهر خادم IND كعميل كما هو موضح هنا.
   

تنشيط خدمة pxGrid في خادم IND

داخل واجهة المستخدم الرسومية IND:

1. انتقل إلى الإعدادات > pxGrid.
2. انقر على "تنشيط".
   
3. يتم عرض تأكيد على الشاشة.